ベトナム個人データ保護法 日系企業が押さえるべきポイント

2025年6月26日に国会で可決された個人データ保護法（Law No. 91/2025/QH15、通称PDPL）が、2026年1月1日に施行されました。従前も個人データ保護に関する政令はありましたが、本法はベトナム初の包括的な個人データ保護に関する法律です。施行細則として政令356/2025/NĐ-CP（以下、政令356）も制定されています。本稿では、同法の概要と実務上の注意点を整理します。

適用範囲

ベトナム個人データ保護法はEUのGDPRに類似した構造を持ちつつ、中小企業向け経過措置などベトナム独自の規定も含まれており、日系企業のベトナム事業における個人データの取扱いに直接影響する最重要規制の一つです。

同法は、「ベトナムの機関・組織および個人」「ベトナムに所在する外国の機関・組織および個人」、およびその他極めて限定的な外国組織に広く適用されます（第1条第2項）。ベトナム法に基づき設立・活動する外資企業は「ベトナムの組織」に該当し、遵守義務を負います。また、ベトナムで個人データを処理する外国の組織・個人にも域外適用が及ぶ点に留意が必要です。

個人データの分類

同法は個人データを「一般個人データ」と「センシティブ個人データ」の2つに分類しています。一般個人データには、氏名、生年月日、性別、住所、電話番号等が含まれます（政令356第3条）。一方、センシティブ個人データには、政治的見解、宗教、健康状態、犯罪歴、金融情報、位置情報、身分証明書の画像等が含まれ、より厳格な要件が課されます（政令356第4条）。

特に雇用関係において、従業員の健康情報やID書類を収集する場合、センシティブ個人データの処理に該当し得るため、後述する中小企業向け経過措置の適用対象外となる可能性がある点には注意が必要です。

データ処理と同意

個人データの処理には、原則としてデータ主体の同意が必要です（法第9条、第11条第1項等）。同意は、明確・自発的・具体的であり、書面またはそれに準ずる形式で取得することが求められます。例外として、契約の履行に必要な場合、法令に基づく場合、生命の保護に必要な場合等は同意不要とされています。

また、データ主体には、知る権利、アクセス権、同意撤回権、削除権、訂正権、苦情申立権等が認められています（法第4条）。企業はこれらの権利行使に対応する体制を整備する必要があります。

必須の届出・義務

 個人データ処理影響評価報告書

個人データを処理する企業は、処理開始日から60日以内に、個人データ処理影響評価報告書（Form 10）および提出通知書（Form 02a）を公安省サイバーセキュリティ・ハイテク犯罪防止局（A05）に提出する必要があります（法第21条・第22条、政令356第19条・第20条）。変更がある場合は6ヵ月ごとの更新が必要です。

中小企業向け経過措置の適用あり
政令356第41条に基づき、中小企業（政令80/ 2021/NĐ-CP第5条第2項に定義）であって、センシティブ個人データを直接処理せず、かつ累計10万人未満のデータ主体の個人データを処理する場合は、2026年1月1日から5年間、本報告書の作成・提出が免除されます。ただし、従業員の健康情報やID書類を収集する場合はセンシティブデータの処理に該当し、免除対象外となる可能性があります。

越境個人データ移転影響評価報告書

個人データをベトナム国外に移転する場合は、移転開始日から60日以内に越境個人データ移転影響評価報告書（Form 09）および提出通知書（Form 01a）をA05に提出しなければなりません（法第20条・第22条、政令356第18条・第20条）。

ただし、従業員の個人データをクラウドコンピューティングプラットフォームに保管する場合は、越境移転に関するすべての義務が免除されます（法第20条第6項(b)）。

中小企業向け経過措置の適用なし
越境移転については中小企業向け経過措置の免除は適用されません。企業規模を問わず、報告書の作成・提出が必要です。したがって、日系企業が日本の親会社へ人事データや顧客データを移転する場合、原則として本義務の対象となります。

個人データ保護違反報告書

個人データ保護違反がデータ主体の生命・健康・財産等を侵害し得る場合、発見から72時間以内に、関連するデータ主体およびA05へ報告する義務があります（法第23条、政令356第28条・第29条）。様式はForm 08を使用します。

施行されたばかりのため解釈はまだ定まっていませんが、メールアドレスのみの露出であっても、フィッシングやなりすまし等による財産侵害のリスクがあるため、72時間通知を行う運用が適法性が高いと考えられます。もっとも、報告が他のデータ保護規定違反を指摘される端緒となる可能性もある点にも留意が必要です。

その他の主要義務

同法は、以下のような義務も企業に課しています。

・ 個人データ保護担当者の指名または保護部門の設置（法第33条第2項、政令356第13条～第16条）
・ 内部規程および保護方法の策定・発行・更新（法第37条第1項(c)・第3項）
・ データ収集・移転等に先立つデータ主体からの同意取得（法第9条等）
・ 雇用、医療、金融、AI等の分野ごとの個別義務の遵守（法第24条～第32条）

なお、個人データ保護担当者の指名または保護部門の設置については、中小企業向け経過措置の免除が適用されます。

行政手続の正式公布

2026年2月9日、公安省は決定778/QĐ-BCA-A05を公布し、個人データ保護分野における6つの新規行政手続を正式に制定しました。主な手続は以下のとおりです。

・ 越境移転影響評価書類の提出届
・ 処理影響評価書類の提出届
・ 影響評価書類の更新届
・ 個人データ処理サービス事業適格証明書の新規発行
・ 同証明書の再発行
・ 同証明書の差替

全手続の管轄機関はA05で、手数料は無料です。提出方法は、公安省公共サービスポータル（オンライン）、A05窓口への持参、郵送の3つが利用可能です。

なお、旧制度で別々だった「処理影響評価の変更届」と「越境移転影響評価の変更届」は、統合された「更新届」一つに集約されました。

一般の日系企業（自社の従業員・顧客データを自社で処理する企業）については、適格証明書の取得は不要です。本制度は、個人データの処理をサービスとして他社に提供する事業者（SaaS・BPO事業者等）を対象としています。ただし、そのような事業者に処理を委託する場合は、委託先が証明書を取得しているか確認することが推奨されます。

罰則

個人データ保護に関する行政制裁の政令は今後発出される見込みですが、現時点では、図表2のとおり、違反に対する罰金の上限のみ規定されています。また、現行の他の法令（政令14/2022/NĐ-CPにより改正された政令15/2020/NĐ-CPや、政令98/2020/NĐ-CPなど）に基づいた制裁が課される可能性もあります。

なお、図表2の罰金上限額は組織に適用され、同一の違反行為を行った個人に対する罰金上限はその半額となります（法第8条第6項）。

おわりに

ベトナム個人データ保護法の施行に伴い、企業に求められる対応を図表3に整理しています。施行からまだ日が浅く、実務運用は固まっていませんが、日系企業が押さえるべきポイントは明確です。

第一に、日本の親会社への人事データや顧客データの移転は越境データ移転に該当し、原則として届出が必要となること。第二に、従業員や顧客からの同意取得手続を整備すること。第三に、健康診断結果や身分証明書の画像等のセンシティブデータの処理には強化された保護措置を講じること。第四に、個人データ処理報告書や個人データ保護担当者の指定義務があるかを確認すること。第五に、データ漏洩発生時には72時間以内の報告義務に対応できる体制を整備すること。

今後の当局の運用や追加政令の動向にも注意しつつ、早期の対応整備がリスク低減の鍵となります。